Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Config terminologie et concepts
Pour vous aider à comprendre AWS Config, cette rubrique explique certains des concepts clés.
Table des matières
AWS Config Interfaces
AWS Config Console
Vous pouvez gérer le service à l'aide de la AWS Config console. Pour plus d'informations sur le AWS Management Console, consultez AWS Management Console.
AWS Config CLI
AWS Command Line Interface Il s'agit d'un outil unifié avec lequel vous pouvez interagir à AWS Config partir de la ligne de commande. Pour plus d’informations, consultez le AWS Command Line Interface Guide de l’utilisateur . Pour une liste complète des AWS Config CLI commandes, voir Commandes disponibles.
AWS Config APIs
En plus de la console et duCLI, vous pouvez également utiliser le AWS Config RESTful APIs pour programmer AWS Config directement. Pour plus d'informations, consultez la AWS Config APIréférence.
AWS Config SDKs
Au lieu d'utiliser le AWS Config API, vous pouvez utiliser l'un des AWS SDKs. Chacune SDK comprend des bibliothèques et des exemples de code pour différents langages de programmation et plateformes. Ils SDKs fournissent un moyen pratique de créer un accès programmatique à AWS Config. Par exemple, vous pouvez utiliser le SDKs pour signer les demandes de manière cryptographique, gérer les erreurs et réessayer les demandes automatiquement. Pour plus d’informations, consultez la page Outils pour Amazon Web Services
Gestion des ressources
La compréhension des composants de base de vous AWS Config aidera à suivre l'inventaire et les modifications des ressources et à évaluer les configurations de vos AWS ressources.
AWS Ressources
AWS les ressources sont des entités que vous créez et gérez à l' AWS Management Console aide des outils, the AWS Command Line Interface (CLI) AWS SDKs, ou AWS partenaires. Les exemples de AWS ressources incluent les EC2 instances Amazon, les groupes de sécuritéVPCs, Amazon et Amazon Elastic Block Store. AWS Config fait référence à chaque ressource à l'aide de son identifiant unique, tel que l'ID de ressource ou un nom de ressource Amazon (ARN). Pour obtenir la liste des types de ressources AWS Config compatibles, consultezTypes de ressources pris en charge pour AWS Config.
Relation de ressource
AWS Config découvre AWS les ressources de votre compte, puis crée une carte des relations entre les AWS ressources. Par exemple, une relation peut inclure un EBS volume Amazon vol-123ab45d attaché à une EC2 instance i-a1b2c3d4 Amazon associée à un groupe de sécuritésg-ef678hk.
Pour de plus amples informations, veuillez consulter Types de ressources pris en charge pour AWS Config.
Enregistreur de configuration
L'enregistreur de configuration enregistre les modifications de configuration apportées aux types de ressources concernés sous forme d'éléments de configuration. Pour de plus amples informations, veuillez consulter Utilisation de l'enregistreur de configuration.
Il existe deux types d'enregistreurs de configuration.
| Type | Description |
|---|---|
| Enregistreur de configuration géré par le client | Un enregistreur de configuration que vous avez géré. Les types de ressources concernés sont définis par vous. Par défaut, un enregistreur de configuration géré par le client enregistre toutes les ressources prises en charge dans Région AWS le AWS Config répertoire d'exécution. |
| Enregistreur de configuration lié au service | Un enregistreur de configuration lié à un fichier spécifique Service AWS. Les types de ressources concernés sont définis par le service lié. |
Canal de livraison
Comme il enregistre AWS Config en permanence les modifications apportées à vos AWS ressources, il envoie des notifications et des états de configuration mis à jour via le canal de livraison. Vous pouvez gérer le canal de diffusion pour contrôler l'endroit où les mises à jour de configuration sont AWS Config envoyées.
Éléments de configuration
Un élément de configuration représente une point-in-time vue des différents attributs d'une AWS ressource prise en charge qui existe dans votre compte. Les composants d'un élément de configuration incluent les métadonnées, les attributs, les relations, la configuration actuelle et les événements connexes. AWS Config crée un élément de configuration chaque fois qu'il détecte une modification d'un type de ressource qu'il enregistre. Par exemple, si vous AWS Config enregistrez des compartiments Amazon S3, AWS Config crée un élément de configuration chaque fois qu'un compartiment est créé, mis à jour ou supprimé. Vous pouvez également sélectionner de AWS Config créer un élément de configuration à la fréquence d'enregistrement que vous avez définie.
Pour plus d'informations, reportez-vous à Components of a Configuration Item la section Fréquence d'enregistrement.
Historique des configurations
Un historique de configuration est un ensemble d’éléments de configuration pour une ressource donnée sur une période donnée. Il permet de répondre aux questions concernant, par exemple, la date de création de la ressource, la configuration de la ressource au cours du dernier mois, ainsi que les changements de configuration effectués hier à 9h. L'historique de configuration est disponible dans plusieurs formats. AWS Config fournit automatiquement un fichier d'historique de configuration pour chaque type de ressource enregistré dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez sélectionner une ressource donnée dans la AWS Config console et accéder à tous les éléments de configuration précédents pour cette ressource à l'aide de la chronologie. En outre, vous pouvez accéder aux éléments de configuration historiques d'une ressource à partir duAPI.
Pour plus d'informations, consultez les sections Affichage de l'historique de conformité et Interrogation de l'historique de conformité.
Instantané de configuration
Un instantané de configuration est un ensemble d’éléments de configuration pour les ressources prises en charge de votre compte. Cet instantané de la configuration est une image complète des ressources qui sont en cours d'enregistrement et de leur configuration. Il peut être un outil utile pour la validation de votre configuration. Par exemple, vous pouvez examiner l'instantané de configuration régulièrement pour les ressources qui sont configurées de façon incorrecte ou qui ne devraient pas exister. Il est disponible dans plusieurs formats. Vous pouvez faire en sorte que l'instantané de configuration soit diffusé vers un compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. En outre, vous pouvez sélectionner un moment dans la AWS Config console et parcourir l'instantané des éléments de configuration à l'aide des relations entre les ressources.
Pour plus d'informations, consultez les sections Livraison d'instantanés de configuration, Affichage des instantanés de configuration et Exemple d'instantané de configuration.
Flux des configurations
Un flux de configuration est une liste automatiquement mise à jour de tous les éléments de configuration pour les ressources en cours AWS Config d'enregistrement. Chaque fois qu'une ressource est créée, modifiée ou supprimée, AWS Config crée un élément de configuration et l'ajoute dans le flux de configuration. Le flux de configuration fonctionne en utilisant le sujet Amazon Simple Notification Service (AmazonSNS) de votre choix. Le flux de configuration est utile pour observer les modifications de configuration au fur et à mesure qu'elles se produisent afin de détecter les problèmes potentiels, de générer des notifications si certaines ressources sont modifiées ou de mettre à jour les systèmes externes qui doivent refléter la configuration de vos AWS ressources.
AWS Config Règles
Une AWS Config règle est un contrôle de conformité qui vous aide à gérer vos paramètres de configuration idéaux pour des AWS ressources spécifiques. AWS Config évalue si vos configurations de ressources sont conformes aux règles pertinentes et affiche les résultats de conformité.
Résultats de l'évaluation
Il existe quatre résultats d'évaluation possibles pour une AWS Config règle.
| Résultat de l'évaluation | Description |
|---|---|
COMPLIANT |
La règle satisfait aux conditions du contrôle de conformité. |
NON_COMPLIANT |
La règle ne satisfait pas aux conditions du contrôle de conformité. |
ERROR |
L'un des paramètres obligatoires/facultatifs n'est pas valide, n'est pas du type correct ou est mal formaté. |
NOT_APPLICABLE |
Utilisé pour filtrer les ressources auxquelles la logique de la règle ne peut pas être appliquée. Par exemple, la alb-desync-mode-checkrègle vérifie uniquement les équilibreurs de charge d'application et ignore les équilibreurs de charge réseau et les équilibreurs de charge de passerelle. |
Types de règle
Il existe deux types de règles. Pour plus d'informations sur la structure des définitions de règles et des métadonnées des règles, consultez la section Composants d'une AWS Config règle.
| Type | Description | En savoir plus |
|---|---|---|
| Règles gérées | Règles prédéfinies et personnalisables créées par AWS Config. | Pour obtenir la liste des règles gérées, consultez la section Liste des règles AWS Config gérées. |
| Règles personnalisées | Des règles que vous créez de toutes pièces. Il existe deux manières de créer des règles AWS Config personnalisées : les fonctions Lambda (Guide du AWS Lambda développeur) et Guard (Guard GitHub |
Pour plus d'informations, consultez les sections Création de règles de politique AWS Config personnalisées et Création de règles Lambda AWS Config personnalisées. |
Types de déclencheurs
Après avoir ajouté une règle à votre compte, AWS Config comparez vos ressources aux conditions de cette règle. Après cette évaluation initiale, AWS Config continue à exécuter des évaluations chaque fois qu'une évaluation est déclenchée. Les déclencheurs d'évaluation sont définis dans le cadre de la règle et peuvent inclure les types suivants.
| Type de déclencheur | Description |
|---|---|
| Configuration changes | AWS Config exécute des évaluations pour la règle lorsqu'une ressource correspond au champ d'application de la règle et qu'il y a un changement de configuration de la ressource. L'évaluation s'exécute après l' AWS Config envoi d'une notification de modification d'élément de configuration. Vous choisissez quelles ressources déclenchent l'évaluation en définissant la portée de la règle. La portée peut inclure les éléments suivants :
AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations. |
| Périodique | AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez, par exemple toutes les 24 heures. |
| Hybride | Certaines règles comportent à la fois des changements de configuration et des déclencheurs périodiques. Pour ces règles, AWS Config évalue vos ressources lorsqu'il détecte un changement de configuration et également à la fréquence que vous spécifiez. |
Modes d'évaluation
Il existe deux modes d'évaluation des AWS Config règles.
| Mode d'évaluation | Description |
|---|---|
| Proactif | Utilisez l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait COMPLIANT ou NON _ compte COMPLIANT tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région. Pour plus d'informations, consultez Modes d'évaluation. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation. |
| Détective | Utilisez l'évaluation détective pour évaluer les ressources déjà déployées. Ce type d'évaluation vous permet d'évaluer les paramètres de configuration de vos ressources existantes. |
Note
Les règles proactives ne corrigent pas les ressources signalées comme NON _ COMPLIANT et n'empêchent pas leur déploiement.
Packs de conformité
Un pack de conformité est un ensemble de AWS Config règles et d'actions correctives qui peuvent être facilement déployées en tant qu'entité unique dans un compte et une région ou au sein d'une organisation dans. AWS Organizations
Les packs de conformité sont créés en créant un YAML modèle contenant la liste des règles AWS Config gérées ou personnalisées et des actions correctives. Vous pouvez déployer le modèle à l'aide de la console AWS Config ou de la AWS CLI.
Pour démarrer rapidement et évaluer votre AWS environnement, utilisez l'un des exemples de modèles de pack de conformité. Vous pouvez également créer un YAML fichier de pack de conformité à partir de zéro sur la base du pack de conformité personnalisé. Un pack de conformité personnalisé est un ensemble unique de AWS Config règles et d'actions correctives que vous pouvez déployer ensemble dans un compte et une AWS région, ou au sein d'une organisation dans. AWS Organizations
Les contrôles de processus sont un type de AWS Config règle qui vous permet de suivre vos tâches externes et internes qui nécessitent une vérification dans le cadre des packs de conformité. Ces vérifications peuvent être ajoutées à un pack de conformité existant ou à un nouveau pack de conformité. Vous pouvez suivre l'ensemble de la conformité, y compris AWS Config les durées et les contrôles manuels, en un seul endroit.
Regroupement des données de plusieurs comptes et plusieurs régions
L'agrégation de données multicomptes et multirégions vous AWS Config permet d'agréger les données de AWS Config configuration et de conformité de plusieurs comptes et régions dans un seul compte. L'agrégation de données multicomptes et multirégions est utile aux administrateurs informatiques centraux afin de contrôler la conformité de plusieurs Comptes AWS entreprises. L'utilisation d'agrégateurs n'entraîne aucun coût supplémentaire.
Compte source
Un compte source est le compte Compte AWS à partir duquel vous souhaitez agréger les données de configuration et de conformité des AWS Config ressources. Un compte source peut être un compte individuel ou une organisation dans AWS Organizations. Vous pouvez fournir des comptes sources individuellement ou vous pouvez les récupérer via AWS Organizations.
Région source
Une région source est la AWS région à partir de laquelle vous souhaitez agréger les données AWS Config de configuration et de conformité.
Agrégateur
Un agrégateur collecte des données AWS Config de configuration et de conformité à partir de plusieurs comptes sources et régions. Créez un agrégateur dans la région où vous souhaitez consulter les données de AWS Config configuration et de conformité agrégées.
Note
Les agrégateurs fournissent une vue en lecture seule des comptes source et des régions que l'agrégateur est autorisé à consulter en répliquant les données des comptes sources vers le compte agrégateur. Les agrégateurs ne fournissent pas d'accès mutant à un compte ou à une région source. Par exemple, cela signifie que vous ne pouvez pas déployer de règles via un agrégateur ou transférer des fichiers instantanés vers un compte ou une région source via un agrégateur.
Compte Aggregator
Un compte Aggregator est un compte dans lequel vous créez un agrégateur.
Autorisation
En tant que propriétaire du compte source, l'autorisation fait référence aux autorisations que vous accordez à un compte agrégateur et à une région pour collecter vos données de AWS Config configuration et de conformité. Aucune autorisation n'est requise si vous regroupez des comptes source qui font partie de AWS Organizations.
